本文目前的内容介绍了华为交换机VLAN划分与三层交换技术的配置方法。主要内容包括1通过二层交换机实现VLAN划分隔离不同VLAN间的二层通信2利用三层交换机的VLANIF接口配置网关实现跨VLAN的三层互通3远程登录Telnet配置与管理4端口隔离技术的应用5Hybrid接口实现灵活的二层访问控制6STP生成树协议的配置与优化解决网络环路问题。文章通过详细配置步骤和效果验证展示了华为交换机在VLAN管理、三层路由、网络安全和链路冗余等方面的技术实现。本文对专栏------“未整理的作者自用笔记正确性不定请谨慎观看~“的专栏进行整理与总结并持续更新中。如有需要更正或者不理解的地方欢迎交流指正~希望和大家共同成长~一路由器11111二层交换机vlan划分将同一网段下的四台主机分别划分到两个vlan,达到只有统一vlan下的主机可以相互通信的效果交换机周围的六个接口的名称不同的话还是会更加方便一点--会不容易搞混1.配置1.1主机配置为啥用的都是192.168.1.0/24?而似乎没有使用“192.168.2.0/24”但是图片中有192.168.2.0/241.2检测此时完成主机的基础配置同一网段192.168.1.0/24下的4台主机可以相互平通以此检查配置是否正确2.配置LSW1LSW1刚开始时的vlan将三个接口划分vlan划分完成之后disp vlan 查看SLW1的vlan配置配置未出错、符合预期记得退到Huawei进行save保存如下3.同理配置LSW2:红框框处是将e0/0/1原本的配置删除由于误将本来要配置成“tr”类型的接口配置成了ac类型还将其单独划分给了vlan 10所以要先删除原本的配置再重新配置 4.检验配置是否可达到预期效果同一vlan可以相互ping通不同vlan不能相互平通5小进阶挑战5.1利用同一vlan下的主机可以通信使以下不同网段下的主机PC1和PC4/PC2和PC3之间可以相互通信。5.2正常的效果说明一、没进行 VLAN 划分的情况默认所有端口都在 VLAN 1拓扑逻辑所有交换机端口都默认属于 VLAN 1所有 PC 都在同一个广播域里就像接在同一个大交换机上效果所有 PC 都能互相 ping 通PC1 ↔ PC3同网段 192.168.1.0/24通PC2 ↔ PC4同网段 192.168.2.0/24通PC1 ↔ PC2不同网段不通因为没有网关 / 三层路由只是二层互通三层 IP 不通PC1 ↔ PC4不同网段同上二层能通但三层不通广播域很大任何一台 PC 发广播包比如 ARP 请求整个网络里所有 PC 都会收到安全性差一台 PC 中毒发广播风暴会影响整个网络二、按标签进行 VLAN 划分的情况拓扑逻辑VLAN 10PC1192.168.1.1、PC3192.168.1.2同网段VLAN 20PC2192.168.2.1、PC4192.168.2.2同网段LSW1 和 LSW2 之间的 E0/0/3 配置为 Trunk 模式允许 VLAN 10 和 20 通过效果同 VLAN 的 PC 可以跨交换机互通PC1 ↔ PC3VLAN 10同网段✅ 能 ping 通PC2 ↔ PC4VLAN 20同网段✅ 能 ping 通不同 VLAN 的 PC 完全隔离二层无法通信PC1 ↔ PC2不同 VLAN❌ 无法通信即使在同一台交换机上也不行PC1 ↔ PC4不同 VLAN❌ 无法通信跨交换机也被隔离PC3 ↔ PC2/PC4不同 VLAN❌ 全部隔离广播域被缩小到每个 VLAN 内VLAN 10 的广播包只会发给 VLAN 10 的 PC不会影响 VLAN 20安全性和稳定性都大大提升.二路由2222三层交换技术配网关本次配置演示了VLAN 三层交换技术先通过 VLAN 划分实现二层广播域隔离再通过三层交换机的 VLANIF 接口配置网关实现不同 VLAN 间的三层互通1主机按上边标签进行基础配置2vlan划分2.1LSW2的接口划分vlan22.2.LSW3的接口划分vlan:2.3LSW1的接口划分2.4此时三个交换机的接口都进行了vlan划分之后的效果1. 同 VLAN 的 PC跨所有交换机都能互通✅ PC1 ↔ PC2VLAN 13同网段流量路径PC1 → LSW2 → LSW1 → LSW3 → PC2只要三台交换机之间的 Trunk 链路都允许 VLAN 13 通过就能正常 ping 通。✅ PC3 ↔ PC4VLAN 24同网段流量路径PC3 → LSW2 → LSW1 → LSW3 → PC4同理Trunk 链路允许 VLAN 24 通过就能正常 ping 通。2. 不同 VLAN 的 PC二层完全隔离默认情况❌ VLAN 13 ↔ VLAN 24 之间的所有 PCPC1/PC2 无法 ping 通 PC3/PC4哪怕它们连在同一台交换机上比如 LSW2 上的 PC1 和 PC3也会被 VLAN 二层隔离广播域被缩小到每个 VLAN 内VLAN13 的广播包只会发给 PC1、PC2不会影响 VLAN24 的 PC3、PC4那如何实现不同vlan下的PC机的相互通信呢3LSW1上配置三层VLAN接口实现不同vlan下的PC机的相互通信3.1给 PC 配置网关3.2给LSW1配网关三层接口为了让 VLAN13 和 VLAN24 互通必须在 LSW1或加一台三层设备上配置三层 VLANIF 接口3.3检验测试检验是否可以实现VLAN 13 ↔ VLAN 24 的跨 VLAN 互通(此时正确配置下PC1--PC4的主机它们任意两台主机都可以相互平通)4网关的疑问未解决见豆包收藏三路由333三层交换机、远程登录一远程登陆技术介绍Telnet是一种基于 TCP/IP 协议的远程登录协议你可以把它理解成一个 “远程控制工具”让你在一台设备上像坐在它面前一样直接操作另一台设备的命令行界面。但是因为它是明文传输用户名密码很容易被网络里的设备截获不安全。现在更推荐用 SSH加密的远程登录协议和 Telnet 功能一样但通信全程加密更安全。1主机配置2给LSW1配置远程登陆能力给 Vlanif10 配置 IP 地址Telnet 必须要有 IP 才能连接前面配置的时候漏掉了以上配置完的效果同网段 PC 正常互通PC1/PC2/PC3192.168.1.0/24依然可以互相 ping 通和 Telnet 配置无关。Telnet 远程管理生效PC 只要能 ping 通 192.168.10.254就可以用 telnet 192.168.10.254 登录 LSW1登录时输入用户名 admin、密码 Hello123就能进入设备的配置界面实现远程管理。管理流量独立Telnet 的管理流量在 VLAN 10 中传输和 PC 业务流量VLAN 1隔离更安全3.对LSW2进行配置以上配置达到以下效果LSW2 完成了自己的管理 IP 配置LSW2 有了 10.10.1.2/24 这个 IP可以和 LSW1 的 10.10.1.1 互通。跨交换机的 Trunk 和管理 VLAN 正常工作LSW1 和 LSW2 之间的 Trunk 链路允许 VLAN10 通过管理流量可以正常传输。LSW2 成功通过 Telnet 登录了 LSW1说明 LSW1 的 Telnet 服务器、Vty 线路、AAA 用户配置都是正确的远程管理功能已经实现。4ping测试展示Telnet不影响同网段PC互通将pc4配置好后pc1与pc2和PC4都能够平通二端口隔离技术目标LSW1 的 g0/0/1 和 g0/0/2 之间不能通信但都能与其他端口正常通信。进行配置1核心技术说明端口隔离端口隔离Port Isolation是华为交换机的一项二层隔离技术作用是同一隔离组内的端口互相之间二层流量无法直接转发无法通信同一隔离组内的端口都可以和非隔离组的上行端口通信它可以实现 “同网段、同 VLAN 下的端口隔离”比 VLAN 划分更灵活适合共享上行的场景2配置完成后的效果结合你的命令效果如下G0/0/1 和 G0/0/2 之间完全隔离两个端口属于同一个隔离组 1即使它们在同一个 VLAN、同一个网段也无法互相 ping 通。它们的流量不能直接在交换机内转发实现了端口级别的隔离。两个端口都可以和非隔离组的上行口通信如果 G0/0/3 这类上行口没有加入隔离组那么 G0/0/1 和 G0/0/2 都可以和它通信实现 “共享上行、互相隔离” 的效果。不影响三层通信端口隔离只在二层生效三层流量比如跨网段的数据包不受影响。如果通过三层设备转发隔离组内的端口依然可以跨网段通信。5补充设置模式以及传输速率接口可以设置模式以及传输速率----见路由33333那一篇。6测试也见路由33333那一篇四路由44444华为 Hybrid 接口混合接口灵活 VLAN 控制本实验利用 Hybrid 接口通过控制 PVID、untagged、tagged实现同网段下灵活的二层互通与隔离PC1 仅与 PC3 互通与 PC2 隔离PC3 可与 PC1、PC2 均互通无需三层设备即可完成精细访问控制。Hybrid 接口可以自定义哪些 VLAN 发出去带标签、哪些不带标签从而控制谁能收到包、谁收不到实现精细的二层互通 / 隔离。3 个关键概念必须懂PVIDPC发的无标签帧进入接口会被打上 PVID 的 VLAN 标签。untagged vlan这些 VLAN 的包从这个口发出去时剥掉标签→PC 能识别、能通。tagged vlan这些 VLAN 的包带标签发出去 → 只给交换机用PC 收不到。1根据标签进行基础配置2交换机配置命令解释与理解LSW1这是 PC1 的接口配置port link-t hy把接口设为 Hybrid 模式port hy pvid vlan 10设置接口的默认 VLANPVID为 10PC1 发的无标签帧会被打上 VLAN10 标签port hy untagged vlan 10允许 VLAN10 的帧不带标签从接口发出PC1 能收到自己的流量port hy untagged vlan 30允许 VLAN30 的帧不带标签从接口发出PC1 能收到 PC3 的流量这是 PC2 的接口配置给 PC2 所在的接口 E0/0/2添加了port hy untagged vlan 30让 PC2 也能收到 PC3 的流量。disp vlan 怎么看五路由器4444260419备注显示为非必要掌握内容这篇内容讲解的是华为交换机 STP 生成树协议的配置与查看核心是解决交换网络环路问题实现链路冗余与防环。1配置说明1. 核心技术STP生成树协议作用在交换机环路拓扑中自动阻塞冗余链路消除二层环路同时保留备份链路实现网络高可用。2. 关键配置命令与作用stp enable 开启 STP 功能交换机默认已开启stp mode stp 将模式设为标准 STPstp root primary 指定本交换机为根网桥stp root secondary 指定本交换机为备份根网桥stp priority 0 手动设置桥优先级越小越优先成为根桥stp timer forward-delay 600 修改转发时延单位100ms6006sstp timer max-age 4000 修改消息老化时间4000ms40s3. 设备角色配置LSW13配置为 根网桥primary rootLSW14配置为 备份根网桥secondary rootLSW15 / LSW16仅开启 STP自动计算端口角色4. 重要查看命令display stp查看完整 STP 信息、根桥、计时器、端口状态display stp brief查看端口角色、状态FORWARDING/DISCARDING5. 关键信息说明根桥整个拓扑的 “核心”由优先级 MAC 选举端口状态FORWARDING转发、DISCARDING阻塞计时器hello 2s、max-age 20s、forward-delay 15s默认拓扑出现环路时STP 会自动阻塞一条链路断环但不断网本文通过配置 STP 根桥、备份根桥、协议计时器并使用 display stp 查看状态实现了交换网络破环、冗余、稳定的典型部署。2配置1根网桥配置补充演示第二种手动配置方式2.备份根桥配置3其中其中的FwDly 15s 就是 Forward Delay转发延迟计时器这个延迟是为了防止临时环路给网络足够的时间让所有交换机都收到拓扑更新的 BPDU避免端口直接转发数据导致环路。如果想缩短 STP 网络的收敛时间可以把Forward Delay 改成 6s收敛时间变成6S大幅缩短了网络故障恢复的时间提升业务可用性。展示改收敛时间其中的参数也都可以看需求改。
交换与路由技术整理与总结(持续更新版)
本文目前的内容介绍了华为交换机VLAN划分与三层交换技术的配置方法。主要内容包括1通过二层交换机实现VLAN划分隔离不同VLAN间的二层通信2利用三层交换机的VLANIF接口配置网关实现跨VLAN的三层互通3远程登录Telnet配置与管理4端口隔离技术的应用5Hybrid接口实现灵活的二层访问控制6STP生成树协议的配置与优化解决网络环路问题。文章通过详细配置步骤和效果验证展示了华为交换机在VLAN管理、三层路由、网络安全和链路冗余等方面的技术实现。本文对专栏------“未整理的作者自用笔记正确性不定请谨慎观看~“的专栏进行整理与总结并持续更新中。如有需要更正或者不理解的地方欢迎交流指正~希望和大家共同成长~一路由器11111二层交换机vlan划分将同一网段下的四台主机分别划分到两个vlan,达到只有统一vlan下的主机可以相互通信的效果交换机周围的六个接口的名称不同的话还是会更加方便一点--会不容易搞混1.配置1.1主机配置为啥用的都是192.168.1.0/24?而似乎没有使用“192.168.2.0/24”但是图片中有192.168.2.0/241.2检测此时完成主机的基础配置同一网段192.168.1.0/24下的4台主机可以相互平通以此检查配置是否正确2.配置LSW1LSW1刚开始时的vlan将三个接口划分vlan划分完成之后disp vlan 查看SLW1的vlan配置配置未出错、符合预期记得退到Huawei进行save保存如下3.同理配置LSW2:红框框处是将e0/0/1原本的配置删除由于误将本来要配置成“tr”类型的接口配置成了ac类型还将其单独划分给了vlan 10所以要先删除原本的配置再重新配置 4.检验配置是否可达到预期效果同一vlan可以相互ping通不同vlan不能相互平通5小进阶挑战5.1利用同一vlan下的主机可以通信使以下不同网段下的主机PC1和PC4/PC2和PC3之间可以相互通信。5.2正常的效果说明一、没进行 VLAN 划分的情况默认所有端口都在 VLAN 1拓扑逻辑所有交换机端口都默认属于 VLAN 1所有 PC 都在同一个广播域里就像接在同一个大交换机上效果所有 PC 都能互相 ping 通PC1 ↔ PC3同网段 192.168.1.0/24通PC2 ↔ PC4同网段 192.168.2.0/24通PC1 ↔ PC2不同网段不通因为没有网关 / 三层路由只是二层互通三层 IP 不通PC1 ↔ PC4不同网段同上二层能通但三层不通广播域很大任何一台 PC 发广播包比如 ARP 请求整个网络里所有 PC 都会收到安全性差一台 PC 中毒发广播风暴会影响整个网络二、按标签进行 VLAN 划分的情况拓扑逻辑VLAN 10PC1192.168.1.1、PC3192.168.1.2同网段VLAN 20PC2192.168.2.1、PC4192.168.2.2同网段LSW1 和 LSW2 之间的 E0/0/3 配置为 Trunk 模式允许 VLAN 10 和 20 通过效果同 VLAN 的 PC 可以跨交换机互通PC1 ↔ PC3VLAN 10同网段✅ 能 ping 通PC2 ↔ PC4VLAN 20同网段✅ 能 ping 通不同 VLAN 的 PC 完全隔离二层无法通信PC1 ↔ PC2不同 VLAN❌ 无法通信即使在同一台交换机上也不行PC1 ↔ PC4不同 VLAN❌ 无法通信跨交换机也被隔离PC3 ↔ PC2/PC4不同 VLAN❌ 全部隔离广播域被缩小到每个 VLAN 内VLAN 10 的广播包只会发给 VLAN 10 的 PC不会影响 VLAN 20安全性和稳定性都大大提升.二路由2222三层交换技术配网关本次配置演示了VLAN 三层交换技术先通过 VLAN 划分实现二层广播域隔离再通过三层交换机的 VLANIF 接口配置网关实现不同 VLAN 间的三层互通1主机按上边标签进行基础配置2vlan划分2.1LSW2的接口划分vlan22.2.LSW3的接口划分vlan:2.3LSW1的接口划分2.4此时三个交换机的接口都进行了vlan划分之后的效果1. 同 VLAN 的 PC跨所有交换机都能互通✅ PC1 ↔ PC2VLAN 13同网段流量路径PC1 → LSW2 → LSW1 → LSW3 → PC2只要三台交换机之间的 Trunk 链路都允许 VLAN 13 通过就能正常 ping 通。✅ PC3 ↔ PC4VLAN 24同网段流量路径PC3 → LSW2 → LSW1 → LSW3 → PC4同理Trunk 链路允许 VLAN 24 通过就能正常 ping 通。2. 不同 VLAN 的 PC二层完全隔离默认情况❌ VLAN 13 ↔ VLAN 24 之间的所有 PCPC1/PC2 无法 ping 通 PC3/PC4哪怕它们连在同一台交换机上比如 LSW2 上的 PC1 和 PC3也会被 VLAN 二层隔离广播域被缩小到每个 VLAN 内VLAN13 的广播包只会发给 PC1、PC2不会影响 VLAN24 的 PC3、PC4那如何实现不同vlan下的PC机的相互通信呢3LSW1上配置三层VLAN接口实现不同vlan下的PC机的相互通信3.1给 PC 配置网关3.2给LSW1配网关三层接口为了让 VLAN13 和 VLAN24 互通必须在 LSW1或加一台三层设备上配置三层 VLANIF 接口3.3检验测试检验是否可以实现VLAN 13 ↔ VLAN 24 的跨 VLAN 互通(此时正确配置下PC1--PC4的主机它们任意两台主机都可以相互平通)4网关的疑问未解决见豆包收藏三路由333三层交换机、远程登录一远程登陆技术介绍Telnet是一种基于 TCP/IP 协议的远程登录协议你可以把它理解成一个 “远程控制工具”让你在一台设备上像坐在它面前一样直接操作另一台设备的命令行界面。但是因为它是明文传输用户名密码很容易被网络里的设备截获不安全。现在更推荐用 SSH加密的远程登录协议和 Telnet 功能一样但通信全程加密更安全。1主机配置2给LSW1配置远程登陆能力给 Vlanif10 配置 IP 地址Telnet 必须要有 IP 才能连接前面配置的时候漏掉了以上配置完的效果同网段 PC 正常互通PC1/PC2/PC3192.168.1.0/24依然可以互相 ping 通和 Telnet 配置无关。Telnet 远程管理生效PC 只要能 ping 通 192.168.10.254就可以用 telnet 192.168.10.254 登录 LSW1登录时输入用户名 admin、密码 Hello123就能进入设备的配置界面实现远程管理。管理流量独立Telnet 的管理流量在 VLAN 10 中传输和 PC 业务流量VLAN 1隔离更安全3.对LSW2进行配置以上配置达到以下效果LSW2 完成了自己的管理 IP 配置LSW2 有了 10.10.1.2/24 这个 IP可以和 LSW1 的 10.10.1.1 互通。跨交换机的 Trunk 和管理 VLAN 正常工作LSW1 和 LSW2 之间的 Trunk 链路允许 VLAN10 通过管理流量可以正常传输。LSW2 成功通过 Telnet 登录了 LSW1说明 LSW1 的 Telnet 服务器、Vty 线路、AAA 用户配置都是正确的远程管理功能已经实现。4ping测试展示Telnet不影响同网段PC互通将pc4配置好后pc1与pc2和PC4都能够平通二端口隔离技术目标LSW1 的 g0/0/1 和 g0/0/2 之间不能通信但都能与其他端口正常通信。进行配置1核心技术说明端口隔离端口隔离Port Isolation是华为交换机的一项二层隔离技术作用是同一隔离组内的端口互相之间二层流量无法直接转发无法通信同一隔离组内的端口都可以和非隔离组的上行端口通信它可以实现 “同网段、同 VLAN 下的端口隔离”比 VLAN 划分更灵活适合共享上行的场景2配置完成后的效果结合你的命令效果如下G0/0/1 和 G0/0/2 之间完全隔离两个端口属于同一个隔离组 1即使它们在同一个 VLAN、同一个网段也无法互相 ping 通。它们的流量不能直接在交换机内转发实现了端口级别的隔离。两个端口都可以和非隔离组的上行口通信如果 G0/0/3 这类上行口没有加入隔离组那么 G0/0/1 和 G0/0/2 都可以和它通信实现 “共享上行、互相隔离” 的效果。不影响三层通信端口隔离只在二层生效三层流量比如跨网段的数据包不受影响。如果通过三层设备转发隔离组内的端口依然可以跨网段通信。5补充设置模式以及传输速率接口可以设置模式以及传输速率----见路由33333那一篇。6测试也见路由33333那一篇四路由44444华为 Hybrid 接口混合接口灵活 VLAN 控制本实验利用 Hybrid 接口通过控制 PVID、untagged、tagged实现同网段下灵活的二层互通与隔离PC1 仅与 PC3 互通与 PC2 隔离PC3 可与 PC1、PC2 均互通无需三层设备即可完成精细访问控制。Hybrid 接口可以自定义哪些 VLAN 发出去带标签、哪些不带标签从而控制谁能收到包、谁收不到实现精细的二层互通 / 隔离。3 个关键概念必须懂PVIDPC发的无标签帧进入接口会被打上 PVID 的 VLAN 标签。untagged vlan这些 VLAN 的包从这个口发出去时剥掉标签→PC 能识别、能通。tagged vlan这些 VLAN 的包带标签发出去 → 只给交换机用PC 收不到。1根据标签进行基础配置2交换机配置命令解释与理解LSW1这是 PC1 的接口配置port link-t hy把接口设为 Hybrid 模式port hy pvid vlan 10设置接口的默认 VLANPVID为 10PC1 发的无标签帧会被打上 VLAN10 标签port hy untagged vlan 10允许 VLAN10 的帧不带标签从接口发出PC1 能收到自己的流量port hy untagged vlan 30允许 VLAN30 的帧不带标签从接口发出PC1 能收到 PC3 的流量这是 PC2 的接口配置给 PC2 所在的接口 E0/0/2添加了port hy untagged vlan 30让 PC2 也能收到 PC3 的流量。disp vlan 怎么看五路由器4444260419备注显示为非必要掌握内容这篇内容讲解的是华为交换机 STP 生成树协议的配置与查看核心是解决交换网络环路问题实现链路冗余与防环。1配置说明1. 核心技术STP生成树协议作用在交换机环路拓扑中自动阻塞冗余链路消除二层环路同时保留备份链路实现网络高可用。2. 关键配置命令与作用stp enable 开启 STP 功能交换机默认已开启stp mode stp 将模式设为标准 STPstp root primary 指定本交换机为根网桥stp root secondary 指定本交换机为备份根网桥stp priority 0 手动设置桥优先级越小越优先成为根桥stp timer forward-delay 600 修改转发时延单位100ms6006sstp timer max-age 4000 修改消息老化时间4000ms40s3. 设备角色配置LSW13配置为 根网桥primary rootLSW14配置为 备份根网桥secondary rootLSW15 / LSW16仅开启 STP自动计算端口角色4. 重要查看命令display stp查看完整 STP 信息、根桥、计时器、端口状态display stp brief查看端口角色、状态FORWARDING/DISCARDING5. 关键信息说明根桥整个拓扑的 “核心”由优先级 MAC 选举端口状态FORWARDING转发、DISCARDING阻塞计时器hello 2s、max-age 20s、forward-delay 15s默认拓扑出现环路时STP 会自动阻塞一条链路断环但不断网本文通过配置 STP 根桥、备份根桥、协议计时器并使用 display stp 查看状态实现了交换网络破环、冗余、稳定的典型部署。2配置1根网桥配置补充演示第二种手动配置方式2.备份根桥配置3其中其中的FwDly 15s 就是 Forward Delay转发延迟计时器这个延迟是为了防止临时环路给网络足够的时间让所有交换机都收到拓扑更新的 BPDU避免端口直接转发数据导致环路。如果想缩短 STP 网络的收敛时间可以把Forward Delay 改成 6s收敛时间变成6S大幅缩短了网络故障恢复的时间提升业务可用性。展示改收敛时间其中的参数也都可以看需求改。
